Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych - Security Bez Tabu

Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych

CVE, które przeszły do historii

Altualne na dzień 3.11.2025 – Artykuł będzie aktualizowany planowo 2 razy do roku.

Analizy firm z branży cyberbezpieczeństwa (m.in. Mandiant, Rapid7, Recorded Future, MITRE ATT&CK, Palo Alto Unit 42) oraz instytucji rządowych (CISA, FBI) wskazują na listę podatności, które były najczęściej wykorzystywane przez grupy APT oraz cyberprzestępców w latach 2010–2024.

Obejmują one zarówno luki klientowe (np. w Microsoft Office, przeglądarkach, Flash, Java), jak i serwerowe oraz urządzeń brzegowych (VPN, serwery WWW, firewalle). Warto zauważyć, że wiele starszych podatności pozostaje aktywnie wykorzystywanych przez lata – np. luki OLE w Microsoft Office, takie jak CVE-2017-11882, CVE-2017-0199 czy CVE-2012-0158, należały do najczęściej używanych exploitów w okresie 2016–2019.

Z kolei w ostatnich latach dominują krytyczne błędy w systemach wystawionych do Internetu – np. w 2024 roku cztery najczęściej atakowane podatności dotyczyły VPN-ów i urządzeń zabezpieczających na brzegu sieci.

Jeżeli chcesz pogłębić swoją wiedzę na temat CVE sprawdź koniecznie nasze opracowanie – CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa.

Zestawienie „najpopularniejszych” CVE w latach 2010–2024

Poniższa tabela przedstawia kompleksowe zestawienie najpopularniejszych podatności (CVE) wykorzystywanych przez cyberaktorów w latach 2010–2024, wraz z kontekstem/nazwą, typem podatności, oprogramowaniem oraz informacją, czy dana luka widnieje w katalogu znanych exploitowanych podatności CISA (KEV).

Każda podlinkowana treść do nazwy CVE zawiera szczegółowy opis podatności.

CVERokNazwa/KontekstTypOprogramowanie
CVE-2010-25682010Windows LNK Shortcut RCE (Stuxnet)RCEMicrosoft Windows
CVE-2010-28832010Adobe Reader CoolType OverflowRCEAdobe Reader
CVE-2010-33332010RTF Stack Buffer Overflow (OLE)RCEMicrosoft Office
CVE-2011-06092011Flash Player 0-day (RSA breach)RCEAdobe Flash
CVE-2012-01582012MS Office ActiveX (OLE) RCERCEMicrosoft Office
CVE-2012-05072012Java AtomicReferenceArray Sandbox EscapeRCEOracle Java
CVE-2012-17232012Java HotSpot Type ConfusionRCEOracle Java
CVE-2012-18892012MSXML Uninitialized Memory CorruptionRCEMicrosoft Windows/IE
CVE-2013-00742013Silverlight Double DereferenceRCEMicrosoft Silverlight
CVE-2013-04222013Java JRE Reflection API ExploitRCEOracle Java
CVE-2013-14932013Java Code Execution (McRAT malware)RCEOracle Java
CVE-2014-01602014„Heartbleed” Memory Leakujawnienie inf.OpenSSL
CVE-2014-41142014Windows OLE „Sandworm” RCERCEMicrosoft Windows
CVE-2014-62712014„Shellshock” Bash Remote Code ExecutionRCE*nix Bash
CVE-2015-16412015MS Office OLE RCE (Toshliph malware)RCEMicrosoft Office
CVE-2015-25452015EPS Image Handling RCERCEMicrosoft Office
CVE-2015-31132015Flash Player 0-day (HackingTeam leak)RCEAdobe Flash
CVE-2015-51222015Flash Player Use-After-FreeRCEAdobe Flash
CVE-2015-51232015Flash Player Use-After-FreeRCEAdobe Flash
CVE-2016-01892016Internet Explorer Scripting EngineRCEMicrosoft IE/Edge
CVE-2017-01992017Office/WordPad HTA Execution (OLE)RCEMicrosoft Office/WordPad
CVE-2017-01432017Windows SMBv1 (EternalBlue family)RCEMicrosoft Windows
CVE-2017-01442017„EternalBlue” SMBv1 RCE (WannaCry exploit)RCEMicrosoft Windows
CVE-2017-01452017SMBv1 RCE („EternalRomance”)RCEMicrosoft Windows
CVE-2017-56382017Apache Struts2 OGNL Injection (Equifax)RCEApache Struts2
CVE-2017-84642017LNK Remote Code Execution (Turla)RCEMicrosoft Windows
CVE-2017-87592017.NET Framework WSDL RCE (FinFisher)RCEMicrosoft .NET
CVE-2017-85702017Office OLE Object RCERCEMicrosoft Office/WordPad
CVE-2017-118822017Equation Editor (OLE) RCERCEMicrosoft Office
CVE-2018-01712018Cisco Smart Install Remote OverflowRCECisco IOS
CVE-2018-48782018Flash Player UAF (North Korea exploit)RCEAdobe Flash
CVE-2018-76002018„Drupalgeddon2” Drupal RCERCEDrupal CMS
CVE-2018-81742018Internet Explorer VBScript RCERCEMicrosoft IE/Windows
CVE-2018-159822018Flash Player 0-day (Operation Poison)RCEAdobe Flash
CVE-2018-08022018Equation Editor Memory Corruption #2RCEMicrosoft Office
CVE-2018-202502018WinRAR ACE Archive Extraction (writeto)RCEWinRAR (Windows)
CVE-2019-06042019SharePoint ViewState RCERCEMicrosoft SharePoint
CVE-2019-07082019„BlueKeep” RDP Remote RCERCEMicrosoft Windows
CVE-2019-115102019Pulse Secure VPN Path Traversal (cred. leak)ujawnienie inf.Pulse Secure VPN
CVE-2019-197812019„Shitrix” Citrix ADC Path Traversal → RCERCECitrix ADC/Gateway
CVE-2019-189352019Telerik UI ASP.NET Deserialization RCERCEProgress Telerik UI
CVE-2019-27252019Oracle WebLogic Deserialization RCERCEOracle WebLogic
CVE-2019-33962019Confluence Widget Connector OGNL RCERCEAtlassian Confluence
CVE-2019-115802019Atlassian Crowd OGNL Injection RCERCEAtlassian Crowd
CVE-2020-06882020Exchange Control Panel (ECP) RCERCEMicrosoft Exchange
CVE-2020-06742020Internet Explorer JScript 0-dayRCEMicrosoft IE/Windows
CVE-2020-07962020„SMBGhost” SMBv3 RCERCEMicrosoft Windows
CVE-2020-101892020Zoho ManageEngine Desktop Central RCERCEZoho ManageEngine
CVE-2020-12062020„SMBleed” SMBv3 Info Leakujawnienie inf.Microsoft Windows
CVE-2020-14722020„Zerologon” Privilege Escalation (Domain)podn. uprawnieńMicrosoft Netlogon
CVE-2020-155052020MobileIron Mobile Device MDM RCERCEMobileIron Core (MDM)
CVE-2020-168982020„Bad Neighbor” IPv6 RCERCEMicrosoft Windows
CVE-2020-148822020Oracle WebLogic Console RCERCEOracle WebLogic
CVE-2020-25552020Oracle WebLogic RCE (JSON deserialization)RCEOracle WebLogic
CVE-2020-59022020F5 BIG-IP TMUI Remote Code ExecRCEF5 BIG-IP
CVE-2020-34522020Cisco ASA/FTD Web VPN Path Traversalujawnienie inf.Cisco ASA/FTD
CVE-2021-228932021Pulse Connect Secure RCE (pre-auth)RCEPulse Secure VPN
CVE-2021-229862021F5 BIG-IP iControl REST RCE (pre-auth)RCEF5 BIG-IP
CVE-2021-268552021„ProxyLogon” Exchange SSRF (auth bypass)RCEMicrosoft Exchange
CVE-2021-270652021„ProxyLogon” Exchange Post-auth RCERCEMicrosoft Exchange
CVE-2021-344732021„ProxyShell” Exchange Pre-auth Path ConfusionRCEMicrosoft Exchange
CVE-2021-345232021„ProxyShell” Exchange Privilege Escalationpodn. uprawnieńMicrosoft Exchange
CVE-2021-312072021„ProxyShell” Exchange Post-auth RCERCEMicrosoft Exchange
CVE-2021-345272021„PrintNightmare” Spooler RCERCEMicrosoft Windows
CVE-2021-16752021Windows Print Spooler LPE (PrintNightmare variant)podn. uprawnieńMicrosoft Windows
CVE-2021-404442021MSHTML ActiveX Zero-day (malicious doc)RCEMicrosoft Windows/Office
CVE-2021-31562021„Baron Samedit” Sudo Privilege Escalationpodn. uprawnieńUnix/Linux (sudo)
CVE-2021-278522021Checkbox Survey RCE (survey software)RCECheckbox Survey
CVE-2021-200162021SonicWall SMA100 SQLi (cred theft chain)ujawnienie inf.SonicWall SMA100
CVE-2021-219722021VMware vCenter Server RCE (upload servlet)RCEVMware vCenter
CVE-2021-260842021Confluence OGNL Injection (unauth RCE)RCEAtlassian Confluence
CVE-2021-405392021ManageEngine ADSelfService Plus RCERCEZoho ManageEngine ADSelfService
CVE-2021-440772021ManageEngine ServiceDesk Plus RCERCEZoho ManageEngine ServiceDesk
CVE-2021-442282021„Log4Shell” Apache Log4j RCERCEApache Log4j (Java)
CVE-2022-229542022VMware vRealize/Workspace ONE RCERCEVMware (vRA)
CVE-2022-13882022F5 BIG-IP iControl REST RCERCEF5 BIG-IP
CVE-2022-10402022Sophos Firewall User Portal RCERCESophos Firewall
CVE-2022-261342022Confluence OGNL Injection (unauth RCE)RCEAtlassian Confluence
CVE-2022-301902022„Follina” MSDT Diagnostic Tool RCERCEMicrosoft Windows/Office
CVE-2022-406842022Fortinet FortiOS Authentication Bypasspominięcie aut.Fortinet FortiOS
CVE-2022-424752022FortiOS SSL-VPN Heap Buffer Overflow (RCE)RCEFortinet FortiOS
CVE-2022-410402022„ProxyNotShell” Exchange SSRFpominięcie aut.Microsoft Exchange
CVE-2022-410822022„ProxyNotShell” Exchange Post-auth RCERCEMicrosoft Exchange
CVE-2022-479662022ManageEngine (several products) RCE via SantuarioRCEZoho ManageEngine (multiple)
CVE-2023-06692023Fortra GoAnywhere MFT Pre-auth RCERCEGoAnywhere MFT
CVE-2023-233972023Outlook Privilege Elevation (NTLM leak)podn. uprawnieńMicrosoft Outlook
CVE-2023-273502023PaperCut MF/NG Unauthenticated RCERCEPaperCut MF/NG
CVE-2023-28682023Barracuda ESG Email Attachment RCERCEBarracuda ESG
CVE-2023-343622023MOVEit Transfer SQL Injection (Clop data theft)RCEProgress MOVEit
CVE-2023-350782023Ivanti EPMM (MobileIron) API RCERCEIvanti EPMM (MobileIron)
CVE-2023-35192023Citrix NetScaler Gateway Code InjectionRCECitrix ADC/Gateway
CVE-2023-368842023Office Defense Evasion (RTF RCE exploit)RCEMicrosoft Office/Windows
CVE-2023-468052023Ivanti Connect Secure Command Injection (VPN)RCEIvanti Connect Secure
CVE-2023-487882023Fortinet FortiClient EMS SQL InjectionRCEFortinet FortiClient EMS
CVE-2024-218872024Ivanti Policy Secure Command Injection (VPN)RCEIvanti Policy Secure
CVE-2024-218932024Ivanti Policy Secure Command Injection (VPN)RCEIvanti Policy Secure
CVE-2024-34002024PAN-OS GlobalProtect VPN Command InjectionRCEPalo Alto Networks PAN-OS

Zestawienie opracowano na podstawie raportów CISA, FBI, NSA oraz firm bezpieczeństwa (m.in. Qualys, Mandiant, Recorded Future). Wszystkie wymienione podatności były aktywnie wykorzystywane przez cyberprzestępców lub grupy APT – wiele z nich figuruje w katalogu znanych exploitatowanych podatności CISA (KEV).

Przykładowo, luki w Exchange ProxyLogon i ProxyShell zostały użyte w globalnych falach ataków ransomware, krytyczna luka Log4Shell w Log4j posłużyła dziesiątkom grup atakujących systemy na całym świecie, a exploit EternalBlue (CVE-2017-0144) spowodował globalne epidemie ransomware (WannaCry, NotPetya) wykorzystując lukę SMB w Windows. Podatności takie jak Conficker (CVE-2008-4250) czy luki w Javie z pakietów exploit kitów były masowo wykorzystywane we wcześniejszych latach.

Obecnie wiele z powyższych podatności pozostaje przedmiotem aktywnych ataków lub skanowania – stanowią one krytyczne zagrożenie bezpieczeństwa, jeśli nie zostały załatane. Wszystkie organizacje powinny priorytetowo stosować aktualizacje zabezpieczeń dla wymienionych luk zgodnie z zaleceniami producentów oraz katalogiem CISA KEV.

Podsumowanie

Lista tych podatności to w praktyce historia cyberataków ostatnich dekad – katalog błędów, które realnie zmieniły sposób, w jaki budujemy i zabezpieczamy systemy. Od klasycznych luk w Windows i Javie, przez podatności w serwerach aplikacyjnych i VPN-ach, po współczesne katastrofy w stylu Log4Shell czy ProxyShell – każdy z tych przypadków pokazuje, że prosty błąd w kodzie może pociągnąć za sobą globalne skutki.

Wspólnym mianownikiem jest to, że wszystkie zostały opisane w systemie CVE i w większości znalazły się w katalogu CISA KEV, co czyni je dobrym punktem odniesienia do priorytetyzacji działań naprawczych. Jeżeli Twoja infrastruktura zawiera komponenty, które kiedyś figurowały przy tych identyfikatorach, to nie jest to lista do czytania – to lista do sprawdzenia w praktyce.

Jeżeli chcesz pogłębić swoją wiedzę na temat CVE sprawdź koniecznie nasze opracowanie – CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa.

Bibliografia

Jeden komentarz do “Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych”

  1. Pingback: CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa - Security Bez Tabu

Możliwość komentowania została wyłączona.